A LGPD veio para estabelecer as “regras do jogo” em relação aos dados pessoais. Isso significa criar mecanismos para proteção dos dados, garantindo o correto uso deles, no tempo e finalidade definidos.
Vamos então pensar que você que está lendo esse post é dono de uma loja virtual, e você não está adequado à lei. Sem que você saiba, os dados de seus clientes foram vazados. Não vamos entrar agora nos detalhes de “como”, mas apenas considerar que houve um vazamento. A loja virtual tinha uma “política de privacidade”, e tinha a “gestão de cookies”. Mas, por causa de uma informação específica contida nos dados, a ANPD chegou até sua empresa.
Nesse momento a ANPD irá realizar uma verificação de todo o processo de adequação para saber quais mecanismos a empresa usou para proteger os dados. Ou seja, irá verificar se a empresa estava ou não adequada à lei. Se você tiver apenas uma “política de privacidade” em sua loja virtual e um gerenciamento de cookies, com certeza terá alguma punição, mais ou menos grave, mas terá.
São muitos os passos a serem considerados. Do momento em que o titular forneceu seus dados até sua eliminação (sim, os dados não são eternos, eles têm um tempo de vida), todos os processos deverão estar adequados e seguros. E não apenas os processos, mas os participantes dos processos. Todos os envolvidos devem estar conscientes de seus deveres e responsabilidades.
A ANPD chega até você com uma certeza: Os dados foram vazados. Ou seja, houve um incidente de segurança. Mas “como” foi esse incidente? E o que a empresa fez para evitá-lo, e o que fez quando soube que aconteceu? Tudo isso será levado em conta no processo aberto na ANPD. Quanto mais a empresa tiver feito para se prevenir, e quanto mais ela tiver feito depois do incidente para auxiliar os titulares, mais bem avaliada ela será pela ANPD.
O incidente de segurança no caso acima é claro: Houve um vazamento de dados. Mas esse não é o único tipo de incidente possível. Vamos supor que sua empresa está “home office”. Você está trabalhando de casa montando um e-mail com dados para um cliente e sai momentaneamente para atender a porta. Seu filho vê o computador ligado e, por brincadeira, manda o e-mail que você estava fazendo para outra pessoa. Esse é um caso clássico de incidente de segurança.
Outro exemplo. As pessoas têm a péssima mania de deixar senhas anotadas em “post-it” na tela do computador. Isso por si só é uma afronta a todas as normas de segurança. Mas essa pessoa resolver postar uma foto na frente do computador, e esquece que tem a senha colada na tela. Mais um incidente de segurança. Qualquer um de posse dessa senha poderá entrar e fazer o que quiser com os dados.
E por aí vai. Existem dezenas de exemplos que podem ser dados, como senhas trafegando pelo WhatsApp, fotos e redes sociais em celulares corporativos e muitas outras.
Incidentes de segurança podem inclusive acontecer em meio físico. Você imprimiu um papel com dados de um cliente, mas a impressão não saiu boa. Ao invés de “destruir” o papel, você o utiliza de rascunho, pois um dos lados estava “branco”. Mas você esquece da informação que tinha impresso, e acaba entregando esse papel para outra pessoa.
Como deu para perceber, “incidentes de segurança” acabam sendo mais comuns que se imagina. E a correta adequação da empresa à LGPD vem para criar mecanismos e procedimentos voltados a evitar que incidentes ocorram e, caso ocorram, a adequação cria procedimentos para “gestão de crise”. Mas isso é assunto para outro post.
Continuem acompanhando nos posts para saber mais sobre a LGDP e outros assuntos da área da tecnologia da informação.
Abraços e até a próxima
André Piazzon – Diretor